Novos laptops Lenovo AMD com co-processador Pluton inicializam apenas o Windows por padrão

Novos laptops Lenovo AMD com co-processador Pluton inicializam apenas o Windows por padrão
Novos laptops Lenovo AMD com co-processador Pluton inicializam apenas o Windows por padrão

Pelo menos alguns dos novos laptops da Lenovo com AMD Rembrandt com coprocessador de segurança Microsoft Pluton são configurados por padrão para confiar apenas na chave da Microsoft e não na chave UEFI CA de terceiros da Microsoft que distribuições Linux e outras usam para suporte UEFI Secure Boot. Assim, por padrão, apenas o Microsoft Windows inicializará com a configuração de firmware padrão em alguns novos laptops Lenovo. Em resumo, isso significa, portanto, que Novos laptops Lenovo AMD com co-processador Pluton supostamente apenas inicializam o Windows por padrão.

Com as CPUs móveis da série AMD Ryzen 6000 lançadas no início deste ano, elas apresentam o coprocessador de segurança Pluton da Microsoft. Embora a princípio o especialista em segurança do Linux, Matthew Garrett, estivesse indicando que não é grande coisa quando o AMD Rembrandt com Pluton foi anunciado no início deste ano, agora que ele colocou as mãos em um novo laptop Lenovo Z13 AMD, eleMatthew Garrett descobriu que o Linux não inicializava por padrão no novo Lenovo ThinkPad Z13 devido a ele, por padrão, não confiar em carregadores/drivers de inicialização assinados com a chave UEFI CA de terceiros da Microsoft. Ele escreveu em seu blog,

Isso significa que, dada a configuração de firmware padrão, nada além do Windows será inicializado. Isso também significa que você não poderá inicializar a partir de periféricos externos de terceiros conectados via Thunderbolt. 

Não há nenhum benefício de segurança nisso. Se você deseja segurança aqui, está prestando atenção aos valores medidos no TPM e, graças à especificação da própria Microsoft para medições feitas no PCR 7, alternar da inicialização do Windows para a inicialização de algo assinado com a chave de assinatura de terceiros alterará as medidas e invalidar quaisquer segredos selados. 

É trivial detectar isso. Desconfiar da CA de terceiros por padrão não melhora a segurança, apenas torna mais difícil para os usuários inicializarem sistemas operacionais alternativos. 

Novos laptops Lenovo AMD com co-processador Pluton inicializam apenas o Windows por padrão

Novos laptops Lenovo AMD com co-processador Pluton inicializam apenas o Windows por padrão.


A restrição para apenas o Windows por padrão é bastante boba, mas pelo menos parece que ainda pode ser desabilitada no UEFI BIOS para permitir a inicialização de sistemas operacionais alternativos. Espero que a Lenovo mude isso, como de fato um movimento bastante bobo para ver deles e seu suporte ao Linux que vinha aumentando nos últimos tempos.Finalmente, na próxima semana, terei em minhas mãos um Lenovo ThinkPad X13 Gen3 AMD com Ryzen 7 PRO 6850U, então também poderei ver mais sobre o suporte AMD Rembrandt em geral no Linux e quaisquer esquisitices de Pluton / segurança lá .

Acesse a versão completa
Sair da versão mobile